Data protection officer (DPO) : rôle et missions

Le Data Protection Officer (DPO) ou délégué à la protection des données (DPD) occupe un rôle central dans la protection des données personnelles. Il est d’ailleurs qualifié de chef d’orchestre par la CNIL.

Pour rappel, le droit de la protection des données personnelles est très largement encadré par le Règlement Général sur la Protection des données (RGPD).

Les entreprises recourent de plus en plus aux services des DPO afin de piloter leur mise en conformité au RGPD.

Faisons un tour d’horizon des sujets concernant le DPO :

  • La désignation d’un DPO est-elle obligatoire et qui peut être désigné DPO ? (1)
  • Quelles sont les missions du DPO et son rôle au sein de l’organisme ? (2)

1 - La désignation du Data Protection Officer (DPO)

Plusieurs questions nous occupent à ce stade :

  • Est-ce que vous avez l’obligation de nommer un DPO ?
  • Et comment désigner un DPO : qui peut prétendre à cette fonction et comment recruter un DPP?

La désignation d’un DPO est-elle obligatoire ?

Il ressort de l’article 37 RGPD que la désignation d’un DPO est obligatoire dans 3 cas :

Premier cas : établissements publics

Lorsque votre organisme est un établissement public (commune, administration, enseignement, hôpitaux etc.) peu importe la taille ou les activités exercées par cet établissement. Il s’agit d’un critère organique qui s’applique automatiquement.

Deuxième cas : traitements réguliers à grande échelle

Lorsque votre organisme opère des traitements de données personnelles qui “exigent un suivi régulier et systématique à grande échelle des personnes concernées”.

💡 Pour rappel, un traitement de données personnelles est une opération (collecte, utilisation, conservation, enregistrement, transfert, manipulation, suppression) sur une information directe ou indirecte concernant une personne physique identifiable (article 4 RGPD).

Un traitement “à grande échelle” est un traitement concernant un volume considérable de données personnelles ou concernant un grand nombre de personnes ou sur une grande zone géographique. Ce type de traitements est naturellement plus susceptible d’engendrer un risque pour la vie privée des personnes.

Par exemple, la géolocalisation des applications telles que Google Maps, Waze ou CityMapper opèrent des traitements de données personnelles à grande échelle.

Pour savoir si votre organisme est concerné par cette hypothèse vous devez vous demander si :

  • Vous collectez un très grand nombre de données sur des personnes ou concernant un nombre immense de personnes ou sur une zone géographique très large. Aucun indicateur n’a encore été fixé par la loi ou la jurisprudence mais les exemples susmentionnés sont un bon repère.
  • De plus, il convient encore que ce traitement ne soit ni occasionnel, ni ponctuel. Vous serez concerné par cette hypothèse si ce traitement à large échelle est un traitement que vous opérez habituellement pour les besoins de votre activité.

Si ces deux critères sont remplis, vous avez l’obligation de nommer un délégué à la protection des données.

Troisième cas : traitements à grande échelle de données sensibles

Lorsque votre organisme opère des traitements à grande échelle de données sensibles (article 9 RGPD) ou relatives à des condamnations pénales et infractions (article 10 RGPD).

En application de cette dernière hypothèse, votre organisme est concerné lorsque :

  • Vous opérez des traitements à grande échelle (pour la définition, voir ci-dessus) ;
  • Ces traitements concernent des données sensibles ou relatives à des condamnations pénales. Les données sensibles correspondent à toutes informations relatives à l’origine ethnique, opinions politiques, convictions religieuses ou philosophiques, l’appartenance syndicale, vie sexuelle, orientation sexuelle, données génétiques, données de santé ou données biométrique.

Si un de vos traitements correspond à ces deux critères, vous avez l’obligation de nommer un DPO. En effet, l’idée derrière est que ce type de traitements engendre un risque plus élevé pour les droits et libertés des personnes. Dès lors, votre organisme doit assurer la protection de ces données par la désignation d’une personne dédiée à cette tâche qui sera également l’interlocuteur privilégié auprès des personnes et des autorités.

En dehors de ces cas, si votre organisme n’est pas obligé de nommer un DPO, sa désignation peut s’avérer nécessaire pour vous aider à piloter votre mise en conformité au RGPD.

⚠️ Si vous avez l'obligation de désigner un DPO et que vous ne le faites pas, vous vous exposez à une sanction de la CNIL pouvant aller du simple rappel à l’ordre jusqu’à une amende administrative. Pour rappel, que cette amende peut s'élever jusqu’à 10 millions d’euros ou 4% de votre chiffre d’affaire annuel.

Qui peut être désigné DPO ?

Aucun prérequis

La première chose à retenir est qu’il n’y a aucun prérequis pour devenir DPO : il n’y a aucune obligation de diplôme ou de champ d’expertise. Pour faire simple, n’importe qui peut être désigné DPO. Néanmoins, si vous choisissez de nommer une personne en interne, il est très fortement recommandé de désigner une personne un minimum formée aux sujets de la protection des données personnelles. Il existe de nombreuses formations dont certaines sont validées par la CNIL.

Seule limite : le conflit d’intérêts

Notons, que la seule limite juridique consiste à ne pas nommer une personne en situation de conflit d’intérêts : le DPO ne doit pas avoir de pouvoir décisionnel sur la détermination des finalités et moyens de traitements. Cela signifie une chose simple : la casquette de DPO est incompatible avec toute fonction dirigeante ou décisionnaire.Par exemple, la fonction de DPO est incompatible avec celles de responsable marketing, de DRH, de DSI, CTO, CEO.

En effet, le DPO ne peut avoir le pouvoir de décision sur un aspect de votre activité (et les traitements associés) et avoir le recul nécessaire pour émettre des avis en toute neutralité.

DPO interne ou DPO externe

En pratique, vous pouvez parfaitement nommer un salarié de votre entreprise ou employer une personne spécifiquement pour cette mission ou avoir recours aux services de “DPO externes”.

Avec une règle : pas de conflit d'intérêt ! Attention, une situation de conflit d’intérêt peut trouver à s’appliquer avec une DPO externe. Par exemple, il arrive que les avocats occupent des fonctions de DPO pour leurs clients. Celui-ci ne peut pas cumuler cette fonction avec celle d’avocat représentant ou conseillant l’organisme au titre de ses fonctions d’avocat.Pour se prémunir de tout conflit d’intérêts, plusieurs organismes proposent les services de DPO externalisés.

Comment désigner un DPO ?

Pour désigner un DPO, nous vous recommandons de :

  1. Formaliser la désignation : indiquer par écrit l’ensemble des missions confiées au DPO dans une lettre de mission, un avenant au contrat de travail si le DPO est un salarié de l'organisme ou encore un contrat de prestation de service si le DPO est une personne externe (morale ou physique).
  2. Communiquer sur la désignation du DPO : faites savoir que vous avez désigné un DPO et transmettez ses coordonnées à vos collaborateurs, aux instances représentatives du personnel, ou encore à la direction. Invitez-les à prendre contact avec lui pour toute question sur les données à caractère personnel.
  3. Notifier la désignation du DPO à l’autorité de contrôle : vous devez obligatoirement informer la CNIL de la désignation du délégué. Vous devrez remplir un formulaire de désignation en ligne : Désigner mon DPO

Pour modifier ses informations ou mettre fin aux fonctions du DPO, vous devez simplement envoyer un email au service des délégués à l’adresse électronique qui figure dans l’accusé réception de la désignation.

Nous avons créer un guide complet pour recruter un DPO incluant une fiche de poste dont vous pouvez largement vous inspirer !

2 - Rôle et missions du DPO

Le rôle du DPO est de piloter et mettre en oeuvre la conformité au RGPD au sein de l’organisme qui l’a désigné. À ce titre, il est l’intermédiaire privilégié de la CNIL et des personnes concernées par les traitements, notamment lorsque celle-ci souhaitent exercer leurs droits (article 39 RGPD).

Les missions du DPO sont définies à l’article 39 du RGPD. Il a 3 principales missions :

  • Pilotage de la conformité,
  • Information et conseil,
  • Point de contact et interlocuteur privilégié

Pilotage de la conformité

C’est la principale mission du DPO au sein d’un organisme : piloter la conformité au RGPD. Cela implique plusieurs missions :

  • Cartographier les données personnelles. C’est la première étape de toute démarche de mise en conformité : avoir une vue d’ensemble des données personnelles collectées est obligatoire avant de se lancer. Pour cela, il revient au DPO de liste l’ensemble des outils utilisés et des données collectées.
  • Documenter la conformité. Une grande partie de la réglementation consiste à documenter ce qu’un organisme fait des données personnelles. Il s’agit de la construction du fameux “registre de traitements de données personnelles” mais pas seulement (registre des sous-traitants, analyses d’impact (AIPD ou PIA), registre des incidents, des exercices de droits etc.Le DPO est tenu de s’assurer de la tenue de cette documentation, de sa pertinence et de son actualisation.
  • Identifier et gérer les risques : les traitements de données font peser des risques sur les droits et les libertés des personnes concernées. Par exemple, si vos traitements ont pour objectif la surveillance d’employés, ou si vous traitez des données sensibles ou encore si vous transférez des données en dehors de l’UE. Le DPO a notamment pour mission de déterminer les mesures de sécurité à mettre en oeuvre pour réduire les risques engendrés par ces traitements de manière adéquate.
  • Mettre en oeuvre des actions : une fois que les risques sont identifiés, il revient au DPO de mettre en place les actions adéquates. Par exemple réaliser une analyse d’impact lorsque c’est nécessaire, rédiger une politique de confidentialité, mettre en place une politique interne de conservation de données, intervenir en cas de violation de données (fuite de donnée, altération, perte, vol etc.), auditer les sous-traitants à qui sont transférées des données personnelles etc.

Leto est un logiciel SaaS qui met à votre disposition une brique technologique qui permet :

  • D’identifier automatiquement les catégories de données personnelles en fonction des outils que votre organisme utilise : Airtable, Hubspot, Salesforce, Shopify etc.. Leto est connecté à plus de 6.000 SaaS et logiciel.
  • D’alimenter automatiquement l’ensemble de la documentation obligatoire (registre de traitements, registre sous-traitant etc.)
  • Et de disposer d’un module de risque automatisé qui permet d’identifier directement les outils à risques, les données personnelles non associées à un traitement et de nombreux autres éléments.

⚠️ Ceci est très important : le DPO n’est pas responsable de la conformité RGPD de l’organisme. Ce sont bien le responsable du traitement et le sous-traitant qui endossent cette responsabilité. Le DPO peut tenir le registre avec le responsable de traitement par exemple, mais il n’en est pas le responsable ! Sa mission consiste à informer, conseiller et contrôler. Il n’a aucun pouvoir de décision et ne donne que des avis.

Contrairement aux idées reçues, la personne responsable en cas de non-conformité est le responsable de traitement, c’est à dire la personne morale de l’entreprise en la personne de son représentant légal et non pas le DPO.

Information et conseil

C’est une mission très importante du DPO car la conformité doit vivre dans le temps. Une fois le registre de traitements construit, il faut encore le mettre à jour en continu et le faire vivre dans le temps.

Concrètement, pour le DPO, cela implique deux choses :

  • Conseiller le responsable de traitement et formuler des avis sur la mise en oeuvre de chaque nouveau traitement.

Dès lors que vos activités se développent, des nouveaux traitements sont engendrés. Le DPO a vocation à être associé à ces prises de décisions pour délivrer son expertise sur les risques potentiels en matière de protection des données personnelles et des actions à mettre en place pour réduire ces risques. Il a pour mission de formuler des avis auprès des dirigeants bien que ces derniers ne soient pas obligés de les suivre.

  • La mise en place d’une culture de la protection des données par la sensibilisation des collaborateurs à ces sujets. La sensibilisation doit ensuite déboucher sur la mise en place de bonnes pratiques en fonction des différentes problématiques rencontrées par chaque collaborateur.

La CNIL l'a elle-même confirmé dans son guide à l'intention des délégués à la protection des données : le DPO a avant tout pour mission d'informer l'ensemble des collaborateurs sur ces sujets. En cas de contrôle, l’organisme doit être en mesure de démontrer à la CNIL que ses employés ont reçu une formation ou ont été sensibilisés à ces sujets. Cela signifie qu'il convient de documenter ces campagnes de sensibilisation ou, du moins, d'en garder une trace afin de pouvoir démontrer votre volonté de mise en conformité aux autorités.

Leto met à votre disposition un module de sensibilisation des collaborateurs par le microlearning avec une banque de plus de 500 questions de mises en situation en fonction des différents métiers (RH, Marketing, Sale, Produit, Tech, Data, Compta, Finance etc.) incluant également des questions de cybersécurité.

Interlocuteur privilégié

Interlocuteur privilégié des personnes

Le DPO est l’interlocuteur privilégié en matière de protection des données personnelles. Cela implique que son contact soit ouvertement accessible par des clients, utilisateurs, prospects, fournisseurs ou employés.

En effet, chaque personne a un droit sur ses données personnelles  :

  • Droit d’accès aux données (article 15 RGPD),
  • Droit de rectification des données (article 16 RGPD),
  • Droit à la portabilité des données (article 20 du RGPD) : un internaute doit pouvoir obtenir ces données dans un format structuré, couramment utilisé et lisible par une machine,
  • Droit à l'effacement (article 17 du RGPD) : sauf intérêt impérieux (c’est rarement le cas pour un site e-commerce), vous avez également l’obligation d’effacer ses données personnelles de vos fichiers si une personne le demande.
  • Droit d’opposition (article 21 RGPD) : à tout moment, un internaute peut s’opposer à ce que ses données soient utilisées par vos soins pour une finalité précise. Si les données sont utilisées pour de la prospection commerciale, l’internaute peut s’y opposer sans motif. Et cela, même s’il avait au préalable donné son consentement.

Le Data Protection Officer est l’interlocuteur de ces personnes et a la charge d’étudier puis de répondre à chacune de ces demandes.

Interlocuteur privilégié des autorités

A ce titre, il doit coopérer avec la CNIL :  donner les accès aux agents lors d’un contrôle sur place, transmettre les documents demandés pour un contrôle sur pièce, notifier une violation de données. Lors d’un contrôle sur place, le DPO n’est pas l’interlocuteur exclusif mais il est bien l'interlocuteur privilégié. Il est notamment chargé de la relecture et de la signature du procès-verbal dressé à l’issue des vérifications.

En cas d’audition sur convocation, c’est-à-dire lorsque les représentants d’un organisme sont invités à répondre aux questions des agents dans les locaux de la CNIL, le DPO ne peut pas se présenter seul. Il peut, en revanche, accompagner le responsable de traitement pour apporter son expertise.

La relation n’est pas à sens unique, puisque le data protection officer peut consulter la CNIL sur toutes les questions relatives à la protection des données ou à ses missions. Le DPO peut échanger avec l’autorité de contrôle sans demander validation au responsable de traitement.

⚠️Dans le cas où un DPO est obligatoire dans l’organisme, la CNIL ne répond pas aux questions du responsable de traitement si celui-ci ne l'a pas préalablement consulté.

Pour plus d’information sur votre mise en conformité au RGPD, n’hésitez pas à demander une démo du logiciel RGPD Leto !

A propos de l'auteur
Garance Bouvet

Avocate de formation, Garance a plus de 10 années d'expérience en droit public, droit constitutionnel et est experte en protection des données personnelles.

Cela pourrait vous intéresser

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?